SCHWACHSTELLENOFFENLEGUNG // CHIMERASCOPE

Sicherheitslücken-Offenlegungsrichtlinie

Wir begrüßen verantwortungsvolle Sicherheitsforschung. Wenn Sie eine potenzielle Schwachstelle in unseren Produkten oder Dienstleistungen entdeckt haben, melden Sie diese bitte über das sichere Formular unten.

Geltungsbereich

Diese Richtlinie gilt für alle Produkte, Dienstleistungen und Infrastruktur, die von Gexiro Global Enterprises Ltd unter der Marke CHIMERASCOPE betrieben werden, einschließlich, aber nicht beschränkt auf:

chimerascope.com — primäre Website und Landingpage
Zugehörige Unterdomains und Dienste — jede internetbasierte Ressource, die unter dem Domain-Namen chimerascope.com betrieben wird

Wie man Meldungen einreicht

Um eine Sicherheitslücke zu melden, verwenden Sie das sichere Einreichungsformular am unteren Rand dieser Seite. Wählen Sie „Sicherheitslücken-Meldung“ als Einreichungstyp aus und fügen Sie so viele Details wie möglich hinzu.

Für verschlüsselte Kommunikation steht unser PGP-Öffentlicher Schlüssel unter folgender Adresse zur Verfügung:

PGP-Öffentlicher Schlüssel: chimerascope.com/.well-known/pgp-key.txt
Fingerprint: EED5 18E3 A297 106F 2CBA 1DA4 5DF7 605B F6D9 B6EA
Algorithmus: RSA-4096
Verfällt: 2028-04-24

Was enthalten sein sollte

Sicherheitslücken-Details

Eine klare Beschreibung der Sicherheitslücke, einschließlich des betroffenen Produkts, der Komponente oder der URL. Geben Sie den Typ der Sicherheitslücke an (z. B. Injektion, Authentifizierungsverfehlung, Informationsoffenlegung).

Wiedergabeschritte

Schritt-für-Schritt-Anweisungen, um das Problem zu reproduzieren. Enthalten Sie die verwendeten Tools, Skripte oder Payloads. Screenshots oder Screencasts sind willkommen.

Auswirkungsbeurteilung

Ihre Beurteilung der potenziellen Auswirkungen, einschließlich der betroffenen Daten, Benutzer oder Systeme. Falls möglich, geben Sie eine CVSS-Bewertung oder Schätzungen der Schweregrad an.

Ihre Kontaktdaten

Eine Möglichkeit, Sie für Rückfragen zu kontaktieren. Wir achten Ihre Privatsphäre und teilen Ihre Kontaktdaten ohne Ihre Zustimmung nicht weiter. Anonyme Berichte werden akzeptiert.

Unsere Verpflichtungen

Anerkennung — 72 Stunden

Wir bestätigen den Empfang Ihres Berichts innerhalb von 72 Stunden und stellen eine Verfolgungsreferenz für Ihre Einreichung bereit.

Bewertung — 14 Tage

Unser Sicherheitsteam bewertet den Bericht, bestätigt die Sicherheitslücke und ermittelt deren Schweregrad. Wir halten Sie über unseren Fortschritt auf dem Laufenden.

Beseitigung — 90 Tage

Wir streben an, bestätigte Sicherheitslücken innerhalb von 90 Tagen nach Bestätigung zu beheben. Kritische Sicherheitslücken werden höher priorisiert, um eine schnellere Behebung zu ermöglichen.

Offenlegung — Koordiniert

Wir praktizieren koordinierte Offenlegung. Wir arbeiten mit Ihnen zusammen, um einen Zeitplan für die Offenlegung zu vereinbaren. Öffentliche Offenlegung erfolgt nicht vor Verfügbarkeit einer Lösung, es sei denn, die Sicherheitslücke wird bereits aktiv ausgenutzt.

Safe Harbor

Wir verfolgen rechtliche Schritte nicht gegen Sicherheitsforscher, die Schwachstellen im Guten Glauben entdecken und melden, sofern sie:

Schutzumfang

Im Guten Glauben handeln, um Schäden an unseren Nutzern und Systemen zu vermeiden
Keine Daten anderer Nutzer zugreifen, ändern oder löschen
Erfundenes rasch über diesen Offenlegungsprozess melden
Vor öffentlicher Offenlegung eine angemessene Beseitigungszeit einräumen
Nicht für persönlichen Gewinn nutzen, außer für Anerkennung

Nicht im Geltungsbereich

Social Engineering oder Phishing-Angriffe gegen Mitarbeiter oder Nutzer
Denial-of-Service-Angriffe oder Ressourcenverbrauch
Tests an physischer Sicherheit
Automatisierte Scans, die zu viel Verkehr erzeugen
Zugriff auf oder Exfiltration von Nutzerdaten
Tests an Systemen, die nicht im oben genannten Geltungsbereich sind

Anerkennung

Wir glauben an die Anerkennung der Beiträge von Sicherheitsforschern, die uns dabei helfen, unsere Sicherheitsstellung zu verbessern. Mit Ihrer Zustimmung werden wir Ihre Beiträge auf unserer Sicherheitswarnseiten anerkennen. Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm.

Richtlinienaktualisierungen

Diese Richtlinien können von Zeit zu Zeit aktualisiert werden. Die aktuelle Version ist stets unter dieser URL verfügbar. Letzte Aktualisierung: April 2026.

Referenz

security.txt (RFC 9116): chimerascope.com/.well-known/security.txt
PGP Öffentlicher Schlüssel: chimerascope.com/.well-known/pgp-key.txt
Sicherheitshinweise: chimerascope.com/security-advisories/

Sicherheitslücke melden

Verwenden Sie das sichere Formular unten, um Ihre Erkenntnisse einzureichen. Für verschlüsselte Kommunikation ist unser PGP-Öffentlicher Schlüssel zum Herunterladen verfügbar.

Submit Vulnerability Report

All submissions are treated as confidential. We will acknowledge receipt within 72 hours.